Vulnerabilidad crítica para Woocommerce

 

El 11 de marzo de 2025, se identificó una vulnerabilidad crítica en el popular plugin de WordPress "HUSKY – WooCommerce Products Filter Professional" (anteriormente conocido como WOOF), que afecta a más de 100,000 tiendas en línea. Esta vulnerabilidad, catalogada como CVE-2025-1661 con una puntuación CVSS de 9.8, permite a atacantes no autenticados ejecutar archivos arbitrarios en servidores afectados, lo que podría resultar en brechas de datos, desfiguración de sitios y control total del sistema.

Detalles de la Vulnerabilidad

La falla reside en una vulnerabilidad de Inclusión Local de Archivos (LFI) presente en versiones del plugin hasta la 1.3.6.5 inclusive. Esta vulnerabilidad se encuentra en el parámetro 'template' de la acción AJAX 'woof_text_search', lo que permite a actores malintencionados inyectar y ejecutar cualquier código PHP presente en el servidor.

Impacto Potencial

La explotación de esta vulnerabilidad puede tener consecuencias graves, incluyendo:

• Robo de datos sensibles: Información de clientes como nombres, direcciones, datos de pago e historiales de pedidos podrían ser comprometidos.

• Inyección de código malicioso: Esto podría llevar a la desfiguración del sitio, redirección a sitios de phishing o instalación de puertas traseras para acceso persistente.

• Control completo del servidor: En casos donde los atacantes puedan cargar e incluir tipos de archivos "seguros", como imágenes con código malicioso incrustado, podrían obtener control total del servidor.

Medidas de Mitigación

Se recomienda encarecidamente a los propietarios de tiendas en línea que utilicen este plugin que actualicen inmediatamente a la versión 1.3.6.6, la cual incluye una solución para esta vulnerabilidad.

Conclusión

La detección de la vulnerabilidad CVE-2025-1661 destaca la importancia de mantener actualizados los plugins y sistemas de gestión de contenido. La rápida acción para parchear y actualizar componentes vulnerables es esencial para proteger la integridad y seguridad de las plataformas de comercio electrónico.

Fuentes: 

A continuación se presentan las fuentes utilizadas en el artículo, junto con sus respectivos enlaces:

• Base de Datos Nacional de Vulnerabilidades (NVD): Proporciona detalles técnicos sobre la vulnerabilidad CVE-2025-1661.

  nvd.nist.gov

• Security Online: Informa sobre la vulnerabilidad crítica que afecta a más de 100,000 sitios de WooCommerce.

  securityonline.info

• SecAlerts: Ofrece información sobre la inclusión de archivos locales no autenticados relacionada con CVE-2025-1661.

  secalerts.co

• Wordfence: Base de datos de vulnerabilidades de WordPress que incluye información sobre CVE-2025-1661.

  Wordfence

• GitHub Advisory Database: Contiene detalles sobre la vulnerabilidad CVE-2025-1661 en el plugin HUSKY.

  GitHub

Estas fuentes proporcionan información detallada y técnica sobre la vulnerabilidad CVE-2025-1661 y sus implicaciones para los sitios que utilizan el plugin HUSKY – WooCommerce Products Filter Professional.

 

WormGPT la nueva arma de la Dark Web para realizar ciberataque

 

La nueva era de herramientas de inteligencia artificial nos demuestra lo que la tecnología es capaz de hacer en pleno 2023. No sólo hablamos de generadores de imágenes como Midjourney, por ejemplo, o de chatbots como ChatGPT, sino que también empezamos a vislumbrar un futuro en el que las estafas y los fraudes online sean una mezcla del ingenio de habilidosos hackers y de la eficacia de la IA.

Nueva herramienta para el mal online: WormGPT

Bajo este curioso nombre, que podría traducirse como GusanoGPT, nos encontramos con un módulo de inteligencia artificial que se asienta sobre las bases de un modelo de lenguaje de gran tamaño denominado GPT-J, que, además es de código abierto.

Este último detalle es fundamental para entender cómo un modelo de lenguaje de código abierto puede ser modificado por hackers con malas intenciones para eliminar ciertas restricciones de los modelos convencionales y así poder, por ejemplo, crear virus y malware con el beneplácito de una tecnología pensada para ayudar al ser humano.

Los ataques de phishing han sido una de las primeras utilidades dadas a esta IA criminal, aunque dadas sus múltiples habilidades, entre las que destacan el soporte de caracteres ilimitados o el formateo de código, parece que solamente estamos ante la antesala de lo que podría estar por venir.

Sin duda alguna, los más modernos chatbots están alucinando a millones de usuarios alrededor del mundo por una causa fundamental: la sencillez de uso de su interfaz. En este caso, imagina si existiese una herramienta similar, pero con la capacidad de causar daño sin ningún tipo de límite. Este es el verdadero peligro de WormGPT.

Eso sí, existen otros peligros fuera de WormGPT, como la posibilidad de corromper al propio ChatGPT para que realice acciones para las que no debería estar preparado. Y es que algunos hackers estarían utilizando el chatbot de OpenAI para extraer información sensible, generar contenido inapropiado o ejecutar códigos maliciosos.

La defensa contra este tipo de herramientas pasa por que los expertos en ciberseguridad utilicen los modelos de IA en su favor para detectar y contrarrestar este tipo de chatbots maliciosos y a los cibercriminales que utilizan la inteligencia artificial en favor de sus propios intereses. Además, la prevención y detección de cualquier tipo de estafa online debería ser uno de los grandes aspectos a integrar en la formación de cualquier tipo de trabajador.